All Products
Search

This Product

    Resource Access Management:Kelola identitas dengan hak akses berlebih menggunakan Access Analyzer

    Document Center

    Resource Access Management:Kelola identitas dengan hak akses berlebih menggunakan Access Analyzer

    Last Updated:Jun 03, 2026

    Access Analyzer mengidentifikasi identitas RAM yang memiliki hak akses berlebih dan menghasilkan saran remediasi untuk menyesuaikan izin yang tidak digunakan serta mengurangi risiko keamanan.

    Catatan

    Fitur ini masih dalam versi beta dan belum mendukung semua layanan. Periksa Layanan yang kompatibel dengan fitur permission audit untuk detail cakupan. Selalu evaluasi saran tersebut terhadap kebutuhan bisnis spesifik Anda sebelum menerapkan perubahan.

    Ikhtisar

    Hak akses berlebih terjadi ketika identitas RAM (pengguna atau role) memiliki izin yang melebihi kebutuhan bisnisnya. Hal ini meningkatkan risiko keamanan akibat kesalahan operasional atau kebocoran kredensial, serta mempersulit audit kepatuhan. Audit izin secara manual memakan waktu dan sulit dipertahankan.

    Alat analisis akses berlebih adalah salah satu dari dua jenis Access Analyzer. Jenis lainnya mengidentifikasi akses eksternal. Alat ini menganalisis aktivitas akses secara berkelanjutan dalam akun atau resource directory saat ini untuk mengidentifikasi super user, identitas dengan hak istimewa, identitas tidak aktif, dan identitas dengan izin yang kurang dimanfaatkan. Alat ini kemudian menghasilkan saran remediasi yang dapat diterapkan dalam satu klik atau beberapa langkah guna menyesuaikan izin dan mengurangi risiko keamanan.

    Konsep utama

    Finding

    Finding adalah objek data yang dihasilkan oleh Access Analyzer yang berisi:

    • Jenis Finding: Kategori finding tersebut. Contoh:

      • super user/role

      • privileged user/role

      • inactive user/role

      • over-privileged user/role

    • Status: Status finding tersebut. Nilai yang valid: Active, Resolved, dan Archived.

    • Informasi resource: Nama, tipe, dan pemilik resource target.

    • Timestamp: Created At, Analysis Time, dan Updated At.

    • ID Finding: Pengenal unik dari finding tersebut.

    Saran remediasi

    Saran remediasi adalah solusi yang dihasilkan Access Analyzer untuk suatu finding:

    • Penggantian izin: Mengganti kebijakan yang memberikan izin luas dengan kebijakan yang lebih terbatas. Misalnya, Anda dapat mengganti izin super administrator (AdministratorAccess) dengan izin administrator sistem (PowerUserAccess).

    • Penghapusan izin: Menghapus kebijakan yang tidak digunakan.

    • Manajemen identitas: Menonaktifkan atau menghapus identitas yang tidak aktif.

    • Arsip finding: Mengarsipkan finding yang terkait dengan perilaku otorisasi yang disengaja.

    Logika pengambilan keputusan

    Access Analyzer mengklasifikasikan akses berlebih berdasarkan prioritas berikut. Jika suatu identitas RAM memenuhi beberapa kondisi, jenis dengan prioritas tertinggi yang berlaku.

    Prioritas

    Jenis temuan

    Deskripsi

    1

    super user/role

    Identitas RAM memiliki izin manajemen atas semua resource akun. Misalnya, identitas tersebut memiliki kebijakan AdministratorAccess.

    2

    privileged user/role

    Identitas RAM memiliki izin operasional berisiko tinggi di luar kebijakan AdministratorAccess, sebagaimana didefinisikan dalam Daftar hak istimewa.

    3

    inactive user/role

    Identitas RAM tidak mengakses resource atau data apa pun dalam periode Unused Access Age yang ditentukan (90 hari secara default), dan tidak memenuhi kondisi prioritas 1 atau 2. Catatan: Pengguna atau role tanpa izin tidak diklasifikasikan sebagai inactive user/role, meskipun tidak aktif.

    4

    over-privileged user/role

    Identitas RAM memiliki izin tingkat layanan atau tingkat aksi yang tidak digunakan dalam periode Unused Access Age yang ditentukan dan tidak memenuhi kondisi sebelumnya. Catatan: Granularitas yang didukung bervariasi tergantung layanan, sebagaimana dijelaskan dalam bagian Supported granularity di Limitations.

    Langkah cepat: Penyesuaian izin

    Panduan ini menggunakan Access Analyzer untuk menonaktifkan pengguna RAM yang tidak aktif.

    Prasyarat

    Pastikan persyaratan berikut terpenuhi:

    • Terdapat analyzer bertipe Over-privileged Access di konsol Access Analyzer.

    • Anda memiliki izin yang diperlukan. Kami menyarankan agar Anda memberikan kebijakan AliyunRAMAccessAnalyzerFullAccess dan AliyunRAMFullAccess kepada operator.

    Prosedur

    1. Temukan sebuah finding

      1. Login ke Konsol RAM.

      2. Di panel navigasi kiri, pilih Access Analysis > Findings.

      3. Di bilah navigasi atas, pilih wilayah tempat analyzer berada.

      4. Di tab Findings > Overview, temukan finding dengan status Inactive User yang berstatus Active, lalu klik angka tersebut.
        image







    2. Lihat dan terapkan saran remediasi

      1. Di daftar Findings, pilih pengguna RAM yang telah Anda pastikan tidak lagi diperlukan, lalu klik Finding ID yang sesuai.

      2. Di halaman detail Findings, klik tab Advices di kolom Actions. Setelah menunggu sebentar, sistem akan menampilkan saran Remove unused identities. Klik Go for Governance.477F7407-CD6C-476A-93C3-E35F550CD679

    3. Anda akan dialihkan ke halaman detail pengguna di Konsol RAM. Anda dapat menonaktifkan login konsol, menonaktifkan AccessKey, atau menghapus pengguna sesuai kebutuhan bisnis Anda.

    4. Verifikasi hasilnya. Kembali ke konsol Access Analyzer. Anda dapat mengarsipkan finding tersebut. Jika tidak, statusnya akan berubah secara otomatis menjadi Resolved setelah siklus analisis berikutnya.

    Panduan remediasi

    Gunakan panduan ini untuk menerapkan remediasi yang tepat untuk setiap jenis finding.

    Remediasi super user/role: Ganti dengan izin administrator sistem

    Ini menurunkan izin super administrator yang tidak perlu menjadi izin administrator sistem (PowerUserAccess) yang lebih aman.

    1. Di tab Findings > Overview atau Findings > Findings, temukan entri dengan Finding Type super user/role, lalu klik Finding ID tertentu.

    2. Di halaman detail Findings, klik tab Advices.

    3. Di panel Advices, temukan saran untuk mengganti izin dengan izin administrator sistem (PowerUserAccess).

    4. Lakukan operasi yang sesuai berdasarkan pemilik resource:

      • Akun saat ini: Klik Apply Recommendation. Sistem secara otomatis menyambungkan kebijakan PowerUserAccess ke identitas target, lalu melepas kebijakan AdministratorAccess.

        image

      • Lintas akun: Penerapan otomatis tidak didukung. Klik Repeat untuk menyalin URL. Kemudian, login ke akun tempat resource target berada, akses URL tersebut, dan ganti izin secara manual.

        3B2C8631-04D6-4830-9C7D-47C945831AC9

    5. (Opsional) Jika analyzer tidak memberikan saran remediasi, lihat Mengapa tidak ada saran remediasi untuk finding saya?

    Penting

    Risiko dan rollback: Operasi ini mengubah izin inti. Sebelum melanjutkan, pastikan kebijakan PowerUserAccess memenuhi kebutuhan kerja harian identitas tersebut. Jika terjadi masalah setelah operasi, buka Konsol RAM dan segera berikan kembali izin AdministratorAccess kepada identitas tersebut.

    Remediasi super user/role: Hapus kebijakan yang tidak digunakan

    Jika kebijakan sistem atau kustom yang tidak digunakan juga disambungkan ke identitas super user, sistem merekomendasikan untuk menghapusnya. Saran terpisah dihasilkan untuk setiap kebijakan.

    1. Di tab Findings > Overview atau Findings > Findings, temukan entri dengan Finding Type super user/role, lalu klik Finding ID tertentu.

    2. Di halaman detail Findings, klik tab Advices di kolom Actions.

    3. Di panel Advices, temukan saran untuk menghapus kebijakan tersebut.

    4. Lakukan operasi yang sesuai berdasarkan pemilik resource:

      • Akun saat ini: Klik Apply Recommendation. Sistem secara otomatis melepas kebijakan tersebut.

        0CF0DF16-0B73-4383-A9C2-1E3E5CA27949

      • Lintas akun: Klik Repeat untuk menyalin URL. Login ke akun target, akses URL tersebut, dan lepas kebijakan secara manual.

    5. (Opsional) Jika analyzer tidak memberikan saran remediasi, lihat Mengapa tidak ada saran remediasi untuk finding saya?

    Risiko dan rollback: Pastikan kebijakan tersebut tidak lagi diperlukan. Jika Anda tidak sengaja menghapusnya, berikan kembali kebijakan izin yang dihapus ke identitas tersebut di Konsol RAM.

    Remediasi privileged user/role: Hapus kebijakan berisiko tinggi yang tidak digunakan

    Untuk privileged user/role, saran remediasinya adalah menghapus kebijakan izin berisiko tinggi yang tidak digunakan. Prosedurnya sama dengan Remediasi super user/role: Hapus kebijakan izin yang tidak digunakan.

    Remediasi inactive user/role: Nonaktifkan atau hapus identitas

    Nonaktifkan atau hapus identitas yang sudah lama tidak aktif untuk menghilangkan risiko keamanannya.

    1. Di tab Findings > Overview atau Findings > Findings, temukan entri bertipe inactive user/role, lalu klik Finding ID tertentu.

    2. Di halaman detail Findings, klik tab Advices di kolom Actions.

    3. Di panel Advices, temukan saran untuk Remove Unused Principals.

    4. Lakukan operasi yang sesuai berdasarkan pemilik resource:

      • Akun saat ini: Klik Go for Governance. Anda akan dialihkan ke halaman detail pengguna atau role di Konsol RAM. Anda dapat menghapus pengaturan login, menonaktifkan atau menghapus AccessKey, atau menghapus identitas tersebut.

        477F7407-CD6C-476A-93C3-E35F550CD679

      • Lintas akun: Klik Copy Resource URL. Login ke akun target dan akses URL tersebut untuk memproses permintaan.

        F97AF4BF-9C92-47FD-B34A-223117E745CF

    5. (Opsional) Jika analyzer tidak memberikan saran remediasi, lihat Mengapa tidak ada saran remediasi untuk finding saya?

    Remediasi over-privileged user/role: Hapus kebijakan yang tidak digunakan

    Untuk over-privileged user/role, saran remediasinya adalah menghapus kebijakan izin yang tidak digunakan. Prosedurnya sama dengan Remediasi super user/role: Hapus kebijakan izin yang tidak digunakan.

    Arsipkan findings

    Jika suatu finding tidak memerlukan tindakan, arsipkan. Setelah diarsipkan, Findings Status akan berubah dari Active menjadi Archived.

    • Arsipkan satu finding: Di kolom Actions pada daftar Findings atau di panel Advices, klik Archive.

    • Untuk secara otomatis mengabaikan jenis finding tertentu, klik Save as Archive Rule. Tetapkan kondisi aturan agar semua finding yang cocok di masa depan secara otomatis diarsipkan. Arsipkan findings secara otomatis.

    • Lihat dan batalkan arsip findings: Secara default, hanya findings berstatus Active yang ditampilkan. Untuk melihat atau membatalkan arsip findings yang diarsipkan, atur filter Status menjadi Archived di halaman Findings. Untuk entri yang perlu diproses ulang, klik Unarchive. Status entri tersebut akan kembali menjadi Active.

      62CAF0CA-9F6F-4BDC-B083-3E202ED9C83B

    Batasan

    • Jenis analyzer: Fitur ini hanya mendukung analyzer bertipe Over-privileged Access dan tidak mendukung analyzer bertipe External Access.

    • Granularitas yang didukung: Analyzer akses berlebih menganalisis izin semua identitas RAM kecuali service-linked roles dalam resource directory atau akun saat ini berdasarkan informasi permission audit. Jenis kebijakan, layanan cloud, dan granularitas yang didukung sama dengan permission auditing, sebagaimana tercantum dalam Layanan yang kompatibel dengan fitur permission audit. Jika suatu kebijakan berisi izin untuk layanan yang tidak didukung, analyzer tidak dapat memberikan saran remediasi untuk menghapus izin tersebut.

    • Jenis kebijakan (hanya untuk penggantian super administrator): Saran remediasi untuk mengganti izin super administrator hanya mendukung kebijakan sistem AdministratorAccess. Kebijakan administrator kustom tidak didukung.

    • Konten kebijakan: Jika suatu kebijakan berisi pernyataan Deny atau NotAction, analyzer tidak dapat memberikan saran remediasi untuk menghapus izin.

    • Cakupan otorisasi: Jika cakupan otorisasi izin administrator adalah Resource Group alih-alih Account, identitas tersebut tidak diidentifikasi sebagai super administrator.

    • Metode otorisasi: Izin dapat diberikan langsung ke pengguna atau role, atau diwariskan melalui kelompok pengguna. Analyzer dapat mengidentifikasi kedua metode otorisasi tersebut, tetapi tidak memberikan saran remediasi otomatis untuk izin yang diwariskan dari kelompok pengguna. Anda harus melakukan remediasi finding tersebut secara manual.

    • Latensi data: Saran remediasi dihasilkan dari findings, yang mungkin memiliki latensi data hingga 24 jam. Jika ketepatan waktu saran sangat penting, Anda dapat memicu pemindaian ulang secara manual dengan mengklik Rescan di halaman detail finding, lalu periksa kembali sarannya.

      E137C610-2963-47AB-8F95-FB41708B64EF

    FAQ

    Dapatkah saya menerapkan saran remediasi secara batch?

    Apply Recommendation secara batch tidak didukung. Namun, Anda dapat membuat aturan arsip untuk secara otomatis mengabaikan jenis finding yang diharapkan.

    Seberapa mutakhir data finding?

    Anda dapat melihat bidang Updated At untuk setiap finding di daftar Findings, atau periksa waktu Analyzed At dan Updated At di halaman detail finding untuk memastikan kebaruan datanya. Semua waktu ditampilkan dalam zona waktu lokal Anda.

    53BF1507-0EE5-430B-B31B-D90DB98D1EF2

    Mengapa saran remediasi tidak tersedia?

    Di halaman detail finding, jika tidak ada saran yang ditampilkan saat Anda mengklik tab Advices, Anda harus melakukan remediasi finding tersebut secara manual, misalnya dengan menghapus izin atau mengarsipkan finding tersebut.

    Alasan umum:

    1. Penggantian izin super administrator: Jika identitas menggunakan izin selama periode idle yang ada di kebijakan AdministratorAccess tetapi tidak ada di kebijakan PowerUserAccess, analyzer tidak dapat merekomendasikan penurunan spesifikasi.

    2. Penghapusan izin yang tidak digunakan: Jika identitas menggunakan beberapa layanan dalam suatu kebijakan selama periode idle, analyzer tidak merekomendasikan penghapusannya.

    3. Sistem tidak menghasilkan saran remediasi untuk izin yang diwariskan melalui kelompok pengguna atau untuk layanan di luar cakupan yang didukung. Batasan.

    Bagaimana cara menentukan apakah izin memenuhi kebutuhan?

    Di halaman detail finding, periksa atribut-atribut berikut untuk menentukan apakah izin sesuai dengan kebutuhan bisnis. Jika izin melebihi kebutuhan, terapkan saran remediasi atau sesuaikan konfigurasi secara manual.

    • Layanan yang Diakses/Layanan yang Diizinkan:

      • Layanan yang Diizinkan adalah jumlah layanan yang didukung analyzer dalam kebijakan identitas tersebut. Lihat daftar Access Records untuk detailnya.

      • Layanan yang Diakses adalah jumlah layanan yang digunakan identitas selama periode idle. Layanan ini diprioritaskan dalam daftar Access Records dengan waktu akses terakhir. Anda dapat memfilter layanan yang diakses selama periode tersebut.

    • Aksi yang Dilakukan/Aksi yang Diizinkan:

      • Aksi yang Diizinkan adalah jumlah total izin operasional di bawah setiap layanan yang diizinkan.

      • Aksi yang Dilakukan adalah jumlah aksi yang dilakukan identitas selama periode idle, sebagaimana terdeteksi oleh analyzer.

        Catatan

        Catatan: Granularitas permission auditing yang didukung bervariasi tergantung layanan cloud. Beberapa layanan tidak mendukung statistik akses tingkat aksi. Untuk layanan tersebut, kolom Performed Actions/Authorized Actions kosong. Layanan yang kompatibel dengan fitur permission audit.

    • Last Accessed At: Waktu setiap layanan terakhir diakses.

    9B1EC385-A7C6-4540-9548-D5DB4B3B2E1F

    Untuk layanan yang mendukung auditing tingkat aksi, klik View Actions di kolom Actions untuk melihat aksi yang diakses identitas dan waktu akses terakhirnya. Aksi dengan tag Privileged berisiko tinggi dan perlu diperhatikan.

    CD8BD593-B404-4512-9B76-B0D92E7CD8FC